-
뉴스레터25.06 디지털자산기본법 주요 내용과 시사점
2025년 6월 10일, 더불어민주당 민병덕 의원이 대표로 발의한 「디지털자산기본법안」(이하 “본 법안”)은 ▲디지털자산의 개념의 명확한 정의, ▲사업자 유형에 따라 인가·등록·신고제를 구분 적용, ▲각 유형별 준수사항 구체화, ▲디지털자산의 발행의 제도적 허용, ▲업권 자율규제기구의 법정화 등을 통해 디지털자산 생태계 전반을 아우르는 최초의 업권법입니다. 현행 「가상자산 이용자 보호 등에 관한 법률」이 가상자산 이용자의 자산 보호와 불공정거래행위의 규제에 초점을 맞춘 단기적 법제였다면, 본 법안은 투자자 보호와 산업 진흥을 함께 도모하는 일반법적 성격의 입법안이라는 점에서 의의가 있습니다. 디센트 법률사무소는 본 법안의 주요 내용을 정리하고, 그 실무적 시사점을 함께 살펴보고자 합니다. Ⅰ 주요 내용 1. 디지털자산 등에 대한 정의 및 적용 범위 가. 디지털자산의 의의 “디지털자산”이란 분산원장에 디지털 형태로 표시된 경제적 가치를 지닌 자산으로서, 거래 또는 이전이 가능한 것을 의미하며, 원화 또는 외국 통화의 가치와 연동되며 환불이 보장되는 ▲자산 연동형 디지털자산과 그 외 ▲일반 디지털 자산의 2개 유형으로 세분화됩니다(제3조 제2항 제1호, 제2호). 다만, 화폐·재화·용역 등으로 교환될 수 없는 전자적 증표 또는 발행인이 사용처와 용도를 제한한 정보 등의 경우는 본 법안의 적용 대상에서 제외됩니다(제3조 제1항). 이는 기존 가상자산이용자보호법상의 정의를 바탕으로 하되 기술적 기반(분산원장)을 명확히 하여 디지털자산의 범위를 보다 구체화하고, 특히 이른바 스테이블코인 등의 핵심 자산을 최초로 법제화한 것으로 평가할 수 있습니다. 나. 디지털자산업의 의의 “디지털자산업”이란 영업성을 가진 행위로서 ▲디지털자산매매업, ▲디지털자산중개업, ▲디지털자산보관업, ▲디지털자산집합관리업, ▲디지털자산지갑관리업, ▲디지털자산일임업, ▲디지털자산자문업, ▲디지털자산주문전송업, ▲디지털자산유사자문업, ▲기타디지털자산관련업의 10개 유형으로 세분화됩니다(제4조 제1항). 이는 기존 법률상 디지털자산 사업 유형으로 포함되지 않았던 일임업, 자문업, 주문전송업, 유사자문업 등 다양한 업권 유형을 최초로 법정화하고 나아가 기존 법률에 이미 규정되어 있던 업권에 대해서도 유형별 정의 규정을 신설함으로써, 가상자산사업자의 범위를 둘러싼 해석상의 불명확성을 상당 부분 해소할 수 있을 것으로 기대됩니다. 다른 한편, 디지털자산운용업은 여전히 금지하여 하루인베스트·델리오 사태 이후 강화된 이용자 보호 기조를 반영한 것으로 평가됩니다. 다. 본 법안의 적용 범위 본 법안은 이용자 보호를 위해 역외적용의 원칙을 명시하고 있습니다(제2조). 그러나, 예컨대 테더(USDT) 등 해외 발행 디지털자산에 대해서는 발행 규제에서 제외하는 규정을 두고 있어(제102조), 역외적용의 실효성은 일부 제한될 수 있는 구조로 보입니다. 2. 업권별 차등 규제 가. 인가등록신고제의 구분 기존 가상자산이용자보호법상 일원화된 신고제에서 인가·등록·신고제의 3단계 진입규제 체계로 전환하여 업권별 자본 요건 및 적격성 심사 기준을 차등화하였습니다. 구체적인 진입규제 유형별 요건은 다음과 같습니다. 인가제 등록제 신고제 ▲디지털자산매매업, ▲디지털자산중개업, ▲디지털자산보관업에 적용되며, 자기자본 5억 원 이상(대통령령으로 정하는 기준 포함)의 요건이 요구됩니다. ▲디지털자산집합관리업, ▲디지털자산지갑관리업, ▲디지털자산일임업, ▲디지털자산자문업에 적용되며, 인가제에 비해 완화된 자기자본 요건(1억 원 이상)과 적격성 기준이 설정됩니다. ▲디지털자산주문전송업, ▲디지털자산유사자문업에 적용되며, 자기자본 요건이 없고, 인가제·등록제에 비해 절차와 심사 기준이 간소화되어 있습니다. 이러한 차등적 진입규제는 사업의 성질상 이용자 보호의 영향을 미칠 수 있는 정도를 토대로 이루어진 것으로 보이며, 그에 비례하여 요건의 엄격성을 다르게 설정한 것으로 볼 수 있습니다. 특히 기존 가상자산이용자보호법상 50억 원의 자기자본이 일률적으로 요구되었던 것에 비하여 최대 자기자본 5억 원이 요구되는 것으로 바뀐 점에 업권법으로서 실효성을 높이는 핵심 요소 중 하나라고 판단됩니다. 나. 업권별 준수사항 본 법안은 영업 행위 준수사항을 모든 업권에 공통으로 적용되는 일반원칙과 개별 업권에 적용되는 특칙으로 구분하여 규정하고 있습니다. 공통 영업 행위 일반원칙으로는 ▲신의성실의무, ▲설명의무, ▲광고 관련 준수사항, ▲부당권유 행위 금지, ▲계약서류 제공의무, ▲디지털자산에 관한 임의적 입출금 차단 금지, ▲직무 관련 정보의 이용 금지, ▲손실 보전 등의 금지, ▲수수료 관련 준수사항 등이 규정되어 있습니다(제60조 내지 제81조). 업권별 영업 행위 준수사항의 체계를 살펴보면 다음과 같습니다: 디지털자산매매업자 및 디지털자산중개업자 ▲매매 형태 명시, ▲자기계약 금지, ▲최선 집행 의무, ▲임의매매 금지, ▲불건전 영업 행위 금지, ▲신용공여 관련 준수사항, ▲이용자 예치금 보호, ▲디지털자산 보관 관련 준수사항 등(제82조 내지 제90조) 디지털자산보관업자 ▲선관의무 및 충실의무, ▲디지털자산의 보관 등 관련 준수사항, ▲보과 계약 및 신용공여 관련 준수사항(제91조 내지 제93조) 디지털자산지갑관리업자 ▲디지털자산지갑업자의 준수사항 등(제94조) 디지털자산집합관리업자 ▲디지털자산집합관리업자의 준수사항(제95조) 디지털자산일임업자 및 디지털자산자문업자 ▲계약 체결 관련 준수사항, ▲디지털자산일임업자 또는 디지털자산자문업자의 준수사항, ▲일임 보고서 교부(제96조 내지 제98조) 디지털자산주문전송업자 및 디지털자산유사자문업자 ▲계약 체결 관련 준수사항, ▲디지털자산주문업자 또는 디지털 자문업자의 준수사항(제99조 내지 제101조) 3. 디지털자산의 발행 허용 자산연동형 디지털자산(일명 ‘스테이블코인’)의 발행은 인가제로, 그 외 일반 디지털자산의 발행은 신고제로 규율하고 있습니다(제103조, 제104조). 스테이블코인을 발행하려는 경우, 내국 법인이어야 하며, 자기자본 5억 원 이상(대통령령으로 정하는 추가 요건 포함) 및 환불준비금 계획 등을 갖추어 금융위원회의 인가를 받아야 합니다(제102조, 제103조). 반면, 일반 디지털자산의 경우에는 발행신고서에 법령상 정해진 기재 사항을 작성하여 금융위원회에 제출하면, 금융위원회는 거짓 기재 여부 등 형식적 요건을 심사한 후 신고 수리 여부를 결정하게 됩니다(제104조). 이러한 차등 규율 체계는 디지털자산의 성격에 따른 위험도 차이를 반영한 것으로 이해됩니다. 향후 금융위원회가 고시 등을 통해 스테이블코인의 인가 요건을 어떻게 구체화하는지에 따라, 무분별한 발행을 억제하는 순기능이 실현될 가능성이 있습니다. 다만, 인가 요건이 과도하게 엄격해질 경우 국내 스테이블코인 발행이 사실상 봉쇄되어 관련 산업 활성화에 제약이 발생할 수 있으므로, 인가제의 실제 운용 방향에 대한 지속적인 주시가 필요합니다. 본 법안은 불공정거래 행위에 대하여 ▲미공개 중요정보 이용행위 금지, ▲시세조종 행위 금지, ▲부정거래 행위 금지, ▲시장 질서 교란 행위 금지 등을 중심으로 자본시장법상 규제 체계를 기본적으로 준용하고 있습니다(제115조 내지 제121조). 그러나 본 법안은 그 위반자에 대하여 ▲계정 거래 정지, ▲임원 선임 제한 등의 조치뿐 아니라 부당이득 또는 회피손실액이 50억 원 이상일 경우 ▲최대 무기징역까지 가능하도록 행정제재 및 형사제재를 대폭 강화하였습니다. 다만, 시장의 유동성 공급 목적의 ▲안정조작 또는 ▲시장조성에 해당하는 행위는 일정 요건 하에 예외적으로 허용하는 규정도 함께 마련되어 있습니다(제115조 내지 제121조, 제163조 등). 이러한 규제 체계는 디지털자산 시장을 자본시장 수준의 규율 대상으로 명확히 포섭함으로써, 제도권 금융시장과의 정합성을 확보하고 고위험 투기 행위에 대한 억지력을 제고하는 데에 의의가 있습니다. 다만, 실효성 있는 집행을 위해서는 시장 감시 인프라와 수사·제재 역량 강화가 병행되어야 하며, 정당한 시장조성 행위까지 위축되지 않도록 예외 규정의 구체적 운용 기준도 명확히 마련될 필요가 있습니다. 4. 업권 자율규제기구의 설립 디지털자산 산업의 육성 및 진흥을 목적으로 설치되는 “한국디지털자산업협회”는 거래 지원 적격성 평가 및 거래지원 종료 심사 등의 업무를 수행하게 됩니다. 특히 이들 업무는 협회의 다른 기능과 독립적으로 운영되어야 하며, 이를 위해 협회 산하에 ▲거래 지원 적격성평가 위원회와 ▲디지털자산 시장감시위원회가 설치됩니다. 거래 지원 적격성평가 위원회는 디지털자산의 상장(거래 지원) 및 상장 유지 여부에 관한 심사를, 디지털자산 시장감시위원회는 이상 거래 감시 및 불공정거래 예방 관련 업무를 각각 담당하게 됩니다(제122조 내지 제132조). 이는 사실상 업비트, 빗썸, 코인원, 코빗, 고팍스 등 5대 원화마켓 거래소가 구성한 민간 협의체인 DAXA의 핵심 기능을 제도권으로 흡수하고, 그간 제기되어 온 이해 상충 및 투명성 부족 문제를 해소하고자 한 것입니다. 나아가, 기존의 거래소 중심의 산업 지형에서 벗어나, 향후 법정화되는 다양한 업권(일임업, 자문업, 주문전송업, 유사자문업 등)의 이해관계를 균형 있게 반영할 수 있는 거버넌스 구조를 마련하였다는 데에 제도적 의의가 있습니다. 다만 이와 같은 자율규제 기구의 법정화는 운영비용 증가와 실무 부담 가중을 동반할 수밖에 없으므로 업권 간 규모 및 수익 구조의 차이를 고려한 재정 분담 방식, 감독 당국과의 역할 구분 등을 향후 하위규정에서 보다 구체화할 필요가 있을 것입니다. Ⅱ 시사점 1. 기대효과 [업권 다변화 및 합법적 영업 기반 확보] 종전 거래소 편중 구조로 산발적 지침이 적용되던 일임업·자문업·유사자문업 등이 등록제(자본 1억 원)·신고제(자본 요건 없음)로 편입되어 중소·스타트업도 합법적·안정적으로 영업할 수 있는 제도적 기반이 마련되었습니다. [국내 자본·인력의 리쇼어링(Reshoring)] 자산 연동형 디지털자산(이른바 스테이블코인)은 자본 5억 원 및 환불준비금 계획 등의 요건을 갖추어 인가 후 발행이 가능하며, 일반 디지털자산은 발행신고서의 형식 심사만 거치면 발생이 가능해져 해외 우회 발행하던 국내 프로젝트의 복귀 가능성이 확대되었습니다. [투자자 보호 및 시장 신뢰 제고] 무기징역까지 가능한 불공정거래 제재와 자율규제 기구의 법정화로 상장·퇴출·감시 표준이 확립되어 시장 투명성과 신뢰도가 향상될 전망입니다. [금융·핀테크 연계 촉진] 인가를 받은 스테이블코인은 전자결제·금융 API 등 기존 금융 인프라와의 협업이 용이해져 신규 서비스 창출 가능성이 확대될 수 있습니다. 2. 유의사항 [행위 규제 강도에 따른 ‘규제 역전’ 우려] 진입규제는 완화되었으나 공시·광고·시장 감시 등 행위규제가 강화되어 운영 부담이 증가할 수 있습니다. [감독·집행 인프라 확충 필요] 형사·행정 제재의 실효성을 담보하려면 수사·시장감시 역량 강화 방안 및 금융위원회·금융감독원·자율규제기구 등 간의 권한 구분을 명확히 규정할 필요가 있습니다. [재정·거버넌스 부담] 협회의 회비·감시 시스템 구축비 등의 분담 방식이 업권 규모별로 설계되지 않으면 소규모 사업자에 과도한 부담이 될 수 있습니다. [국제 규제 정합성] EU MiCA 등 해외 규제와의 상호 승인 체계가 정비되지 않으면 국내 프로젝트의 글로벌 상장·유통에 제약이 발생할 가능성이 있습니다. [타 법령·세제 정비 과제] 전자금융거래법·특정금융정보법·법인세법 등 연계 법령이 함께 개정되지 않을 경우 규제 중복 또는 공백이 발생할 우려가 있습니다.
2025-06-23 -
언론보도 HOT
민병덕표 디지털자산 업권법…중소 사업자 제도권 진입 ‘청신호’ 될까
디지털자산(가상자산) 산업의 제도권 편입이 속도를 내면서 중소 사업자의 시장 진입이 한층 수월해질 것이라는 전망이 나오고 있다. 18일 업계에 따르면 민병덕 더불어민주당 의원이 지난 10일 발표한 ‘디지털자산 기본법안’이 산업 전반에 큰 영향을 미칠 것으로 보인다. 해당 법안은 디지털자산 생태계를 포괄하는 최초의 업권법으로 평가된다. 자기자본 요건 대폭 완화…시장 참여 문턱 낮춰 업계는 그동안 건전한 시장 성장을 위해 다양한 전문 사업자 모델의 도입이 필요하다고 강조해왔다.이번 법안 도입으로 기존에 제도권 진입이 어려웠던 다양한 형태의 디지털자산 사업자가 새롭게 시장에 들어올 수 있게 됐다. 법안은 사업자 유형을 △인가제(거래소·중개·보관업) △등록제(일임·자문·지갑관리업) △신고제(주문전송·유사자문업)로 세분화했다. 유형별로 자본금 요건과 진입 요건을 차등 적용하는 구조다. 특히 기존에 50억원으로 일률 적용되던 자기자본 요건이 대폭 완화됐다. 자기자본은 사업자가 보유한 순자산을 의미한다. 새 법안에서 인가제 사업자는 최대 5억원, 등록제 사업자는 최대 1억원 수준으로 조정됐다. 이는 그간 고액의 자본 요건 탓에 진입이 어려웠던 중소 사업자들에게 제도권 내 진출 기회를 제공할 수 있다는 점에서 시장에 미치는 파급력이 클 것으로 보인다. 자문·컨설팅 기반 사업자도 새롭게 등록 및 신고를 통해 활동 기반을 확보할 수 있을 것으로 기대된다. 진현수 디센트 법률사무소 대표변호사는 “거래소 중심 구조에서 벗어나 다양한 사업 유형이 명확히 정의될 것”이라며 “기존에 마케팅 중심으로 활동해 온 레퍼럴이나 컨설팅 사업자들도 등록·신고 여부를 사전에 검토해야 한다”고 말했다. (후략)
2025-06-18 블록미디어 -
언론보도
[사라진 코인들] ③ 디센트 법률사무소, “해킹 막으려면 사전 점검과 내부통제가 필수”
디센트 법률사무소(대표변호사 진현수·홍푸른)는 가상자산 해킹 피해를 줄이기 위해서는 투자자 개인뿐만 아니라 프로젝트나 기업 차원에서도 사전 보안 점검과 내부통제 체계를 강화하는 것이 핵심이라고 강조했다. 개인 투자자의 경우, 자산을 보관하는 지갑의 보안 설정을 최우선으로 점검해야 한다. 콜드월렛 사용, 지갑별 비밀번호 분리, 2차 인증(2FA) 설정은 물론이고 백업 키나 복구 코드를 안전한 장소에 보관하는 등 기본적인 보안 수칙을 철저히 지켜야 한다. 특히 최근에는 구글 등 이메일 계정이 해킹된 후 동일한 로그인 정보로 연동된 거래소 계정까지 탈취되는 사례가 늘고 있어 이메일 계정 관리 역시 중요한 보안 항목으로 꼽힌다. 프로젝트 운영자나 기업의 경우, 스마트컨트랙트 감사, 다중 서명(Multisig) 설정, 내부 보안 담당자 지정, 이용약관 및 개인정보 보호 조항 정비 등 체계적인 보안 인프라 구축이 요구된다. 또한 팀 내 권한 분산과 보안 업데이트 관리, 내부자 유출을 방지하기 위한 통제 시스템 마련도 중요하다. 해킹이 의심되는 경우에는 거래소에 출금 제한을 요청하고 자산의 이동 경로를 추적하며 신속하게 법률 검토를 거쳐 대응 방안을 마련하는 것이 필요하다. 가능한 빠르게 전문가의 도움을 받는 것이 자산 유출을 최소화하는 열쇠다. 디센트는 실제 자문을 통해 보안 조치 미흡으로 인한 해킹 사고 발생 시 피해 확산을 막기 위해 긴급 법률 자문, 거래소 공조 요청, 이용약관 정비 등 다양한 예방 및 대응 솔루션을 제공하고 있다. 홍푸른 대표변호사는 “가상자산은 한 번 유출되면 회수가 매우 어렵기 때문에 철저한 사전 점검과 내부통제가 결국 법적 분쟁을 줄이고 피해를 예방하는 핵심”이라며 “디센트는 투자자와 프로젝트가 해킹 위험으로부터 자산을 지킬 수 있도록 법률적 측면에서 실질적인 지원을 이어갈 것”이라고 전했다.
2025-06-11 토큰포스트 -
언론보도
[사라진 코인들] ② 디센트 법률사무소, “피해 금액·지갑 흐름 따라 맞춤 대응 필요”
디센트 법률사무소(대표변호사 진현수·홍푸른)는 최근 급증하고 있는 가상자산 해킹 피해와 관련해 “피해를 입은 뒤 단순히 거래소 고객센터에 문의하거나 일반적인 고소만으로는 실질적인 회복이 어려울 수 있다”며, 피해 유형과 금액 규모에 따라 최적화된 대응 전략이 필요하다고 강조했다. 가상자산 해킹은 ▲피싱 등 소셜 엔지니어링 기반 공격 ▲거래소 내부 보안 유출 ▲개인지갑 키 도난 등 다양한 방식으로 이뤄지며, 각 경우마다 법적 접근 방식이 달라진다. 피싱 유형의 경우, 단순 비밀번호 유출이 아닌 이중 인증 우회, 동시 접속 이력, 다수 피해자 존재 여부 등 구체적 정황이 확보되면 수사 촉구의 실마리가 될 수 있다. 또한 거래소 시스템 자체가 뚫린 경우라면 이용자의 부주의가 아닌 플랫폼 측 과실 가능성도 열려 있어 민사 손해배상 청구까지 고려할 수 있다. 반면 개인 키 도난이나 탈중앙화 지갑의 해킹 피해는 회수 가능성이 낮아 빠른 수사기관 공조와 계좌동결 요청이 핵심이다. 디센트 법률사무소는 실제 자문 및 대응 사례에서 피해자의 거래소 출금 이력과 지갑 흐름을 분석해 해외 가상자산 거래소 및 수사기관과 직접 접촉하고 해당 거래소 자산의 긴급 동결을 요청하는 한편, 국내 수사도 병행한 바 있다고 밝혔다. 또한 법률 대응 시에는 단순한 소송 경험을 넘어 가상자산 KYC 분석, 지갑 추적, IP 분석 등 복합적 증거 확보에 익숙한 전문가의 조력이 중요하다고 강조했다. 피해 금액이나 자산 이동 경로, 해킹 유형 등에 따라 대응 방식이 크게 달라지는 만큼, 초기 대응 단계에서 피해 정황을 명확히 파악하고 사건에 최적화된 전략을 수립하는 것이 실질적인 회복 가능성을 높이는 핵심이라고 덧붙였다. 홍푸른 대표변호사는 “피해자들이 단순히 신고에 그치는 것이 아니라 피해 금액의 규모와 해킹 수법, 가상자산의 이동 경로 등을 종합적으로 분석해 적극적인 대응을 하는 것이 중요하다”며 “피해 회수 가능성에 한계가 있더라도 초기 대응이 제대로 이뤄진다면 추가 유출을 막거나 민형사적 조치를 통해 실질적 결과를 얻는 것이 가능할 수 있다”고 말했다.
2025-06-10 토큰포스트 -
언론보도
10년 새 50%↑, 사기 공화국인데…피해구제는 年 평균 77억원
최근 10년 새 사기 범죄가 50%가량 느는 등 급증하고 있으나, 실제 피해자 환부 금액은 연평균 80억원에도 머물고 있는 것으로 나타났다. 또 다른 피해자 구제 방안으로 꼽히는 법원의 배상명령 청구 인용률도 30%대까지 떨어졌다. 전세 사기, 리딩방 등 각종 신종 사기 범죄가 우후죽순 늘면서 서민 삶이 벼랑 끝으로 몰리고 있는 만큼 피해자 구제책 구축이 절실하다는 지적이 나온다. 9일 대검찰청에 따르면 최근 5년간 범죄 피해 재산 환부 평균 금액은 77억 7577만 원에 그쳤다. 지난해의 경우 환부 금액이 293억 558만 원에 이르기는 했으나 2020년부터 2023년까지는 8000만~52억원에 불과했다. (중략) 홍푸른 디센트 법률사무소 대표 변호사는 “효과적인 피해 회복을 위해서는 한층 폭넓은 몰수 규정이 있어야 하는데 부패재산몰수법상 사기 범죄는 상습, 범죄집단 등으로 범위의 제한이 있다”고 지적했다. 대규모 금전 손실을 입은 사기 피해자 입장에서는 빠른 구제가 절실한 데도 환부 대상 혐의가 다소 협소하게 규정돼 있다는 지적이다. 이에 따라 환부 대상 범죄 확대 등 법률 개정이 필요하다는 목소리가 법조계 안팎에서 커지고 있다. 국회 의안정보시스템에 따르면 22대 국회에서 발의된 부패재산몰수법 개정안은 3건이다. 전세사기를 비롯해 리딩방, 가상자산 사기, 로맨스 스캠 등 신종 사기를 몰수 및 추징 보전 대상에 포함시켜야 한다는 내용을 담고 있으나 여전히 국회에 계류 중이다. 전세사기의 경우 전세사기피해자 지원 및 주거안정에 관한 특별법에 따라 피해자 보호가 이뤄지지만 경매·매각 유예와 정지, 공공임대주택 지원, 주거 안정 자금 융자 등 지원만 이뤄질 뿐, 환부 대상에는 포함돼 있지 않다.
2025-06-09 서울경제 -
언론보도
[사라진 코인들] ① 디센트 법률사무소, “내 지갑이 사라진다”…가상자산 해킹 피해 경고
디센트 법률사무소(대표변호사 진현수·홍푸른)는 최근 가상자산을 노린 피싱(Phishing) 범죄가 급증하고 있다며 투자자들의 각별한 주의를 당부했다. 피싱은 문자, 이메일, 메신저 등을 통해 사용자를 속여 가짜 사이트에 접속하게 하거나 민감한 정보를 유도해 자산을 탈취하는 방식으로, 디지털 금융 범죄 중 가장 빈번하게 발생하는 수법 중 하나다. 특히 가상자산 분야에서는 거래소 로그인 정보나 개인 지갑 접근 권한을 탈취하는 방식으로 실질적인 피해가 이어지고 있다. 최근 디센트 법률사무소가 접수한 사건 중에는, 피해자가 구글 계정에 대한 비인가 접속을 허용하게 된 이후, 해당 계정과 동일한 이메일·비밀번호 조합으로 연동된 해외 가상자산 거래소 계정이 무단 접속되어 자산을 탈취당하는 피해를 입었다. 공격자는 이메일 계정에 접근한 뒤, 이중인증(2FA)을 우회하기 위해 백업 코드를 생성했고, 이를 통해 거래소 로그인과 자산 출금을 단숨에 실행한 것으로 확인됐다. 해당 사건처럼 공격자가 직접 피해자의 실수나 부주의를 유도하여 로그인 정보를 확보하고, 외부 계정까지 침투하는 방식은 대표적인 소셜 엔지니어링 기반 피싱 수법에 해당한다. 특히 최근에는 가짜 로그인 페이지, 정상적인 보안 알림을 위장한 링크 등을 통해 비밀번호뿐 아니라 OTP나 보안코드까지 탈취하는 고도화된 수법이 증가하고 있다. 홍푸른 대표변호사는 “단순히 이상한 링크를 클릭하지 않는 것만으로는 부족할 수 있다”며 “이메일과 거래소에 동일한 비밀번호를 사용하는 행위, 2차 인증 백업 설정을 허술하게 관리하는 방식 등이 모두 피싱의 주요 타깃이 된다”고 지적했다. 디센트 법률사무소는 피해 예방을 위해 ▲로그인 계정별 비밀번호 분리 사용 ▲정기적 비밀번호 변경 ▲공식 앱 및 홈페이지 외 접속 금지 ▲2차 인증 기기 및 백업 코드 철저 관리 등을 실천할 것을 권장했다.
2025-06-09 토큰포스트
